La conversación entre el Secretario del Tesoro Scott Bessent y el presidente de la Reserva Federal Jerome Powell con los líderes sénior de Wall Street el mes pasado no fue teórica. Cuando altos funcionarios reguladores financieros se reúnen con ejecutivos para discutir amenazas de inteligencia artificial a las cuentas de depósito, señala que la industria bancaria enfrenta una vulnerabilidad novedosa y potencialmente sistémica—una que los sistemas tradicionales de detección de fraude no fueron diseñados para anticipar o detener.

La advertencia posterior de Bessent sobre hackeos de cuentas impulsados por IA refleja un consenso endurecido entre los responsables de políticas: la postura de ciberseguridad del sector financiero está entrando en un período de estrés agudo. A diferencia de los ciberdelincuentes convencionales que explotan vulnerabilidades conocidas o errores humanos a través de campañas de phishing, los ataques impulsados por IA operan a una escala y velocidad diferentes. Los sistemas de aprendizaje automático pueden sintetizar vastos conjuntos de datos de comportamiento de clientes, probar millones de variaciones de autenticación en paralelo, elaborar campañas de ingeniería social persuasivas adaptadas a titulares de cuentas individuales, y ejecutar tomas de control de cuentas con intervención humana mínima. La amenaza no es hipotética. Es operacionalmente viable hoy.

La aparición de modelos sofisticados de lenguaje de gran escala—incluyendo sistemas de Anthropic y plataformas competidoras—ha bajado la barrera de entrada para esta categoría de ataque. Estas herramientas, diseñadas originalmente para propósitos comerciales legítimos, pueden ser reutilizadas para automatizar las fases de reconocimiento, inferencia de credenciales y manipulación social del compromiso de cuentas. Un actor malintencionado con acceso a tales sistemas ya no requiere experiencia especializada en hackeo. La IA maneja el grueso del trabajo cognitivo. Lo que toma a un ingeniero talentoso semanas de trabajo manual ahora puede ser realizado en horas por una máquina ejecutando ciclos de inferencia a escala.

La infraestructura de respuesta a incidentes de la industria bancaria fue construida para un modelo de amenaza diferente. La detección de fraude se basa en algoritmos de reconocimiento de patrones entrenados en datos históricos de transacciones, biometría de comportamiento y calificación de anomalías basada en reglas. Estos sistemas son reactivos por diseño: marcan actividad sospechosa después de que ha ocurrido. Contra tomas de control de cuentas impulsadas por IA que imitan patrones de comportamiento legítimo de clientes en tiempo real, imitando hábitos de gasto y patrones geográficos con precisión escalofriante, la detección tradicional se convierte en un juego de arqueología forense. En el momento en que los analistas humanos revisan transacciones marcadas, el daño ya está consolidado.

Los mecanismos de autenticación presentan otro punto débil. La autenticación multifactor, una vez considerada una defensa robusta, puede ser eludida por sistemas de IA que explotan vulnerabilidades complementarias en la cadena de autenticación o—más insidiosamente—utilizan ingeniería social para convencer a los clientes de que voluntariamente entreguen códigos de segundo factor. El elemento humano sigue siendo el punto de ruptura del sistema, y los modelos de lenguaje de gran escala se destacan en producir texto que desencadena cumplimiento humano.

La afirmación de Bessent de que los bancos estadounidenses están "trabajando para salvaguardar" contra estas amenazas es correcta pero insuficiente. El trabajo está en curso. Pero el cronograma importa enormemente. Si los tomas de control de cuentas impulsados por IA se operacionalizan por sindicatos criminales antes de que el sector financiero despliegue defensas adecuadas, las pérdidas podrían en cascada a través del sistema de formas que el seguro de depósitos tradicional y los cálculos de reservas de capital nunca fueron diseñados para absorber. Un único ataque coordinado en miles de cuentas en múltiples instituciones podría desencadenar un evento de confianza del cliente que ningún respaldo regulatorio puede fácilmente reparar.

La respuesta apropiada requiere tres líneas de trabajo concurrentes. Primero, la Reserva Federal, la Oficina del Controlador de Moneda, y la FDIC deben emitir orientación vinculante que requiera que los bancos desplieguen sistemas de detección de anomalías nativos de IA en tiempo real—modelos entrenados específicamente para reconocer las firmas de comportamiento del compromiso de cuentas impulsado por máquinas, no meramente fraude humano. Segundo, la infraestructura de autenticación debe evolucionar más allá de factores de conocimiento hacia sistemas biométricos y de comportamiento verificables que no puedan ser socialmente manipulados. Tercero, el sector financiero y las empresas de IA deben establecer una asociación formal de inteligencia de amenazas, con reportería obligatoria de ataques impulsados por IA detectados y diseminación rápida de contramedidas defensivas entre instituciones.

El riesgo no es que el hackeo de cuentas impulsado por IA ocurra. El riesgo es que cuando ocurra—y los ataques de escalado sugieren que ocurrirá—las defensas del sistema bancario resultarán insuficientes, y los reguladores serán forzados a control de daños en lugar de prevención de daños. La advertencia de Bessent no es una campana de alarma; es un disparo de salida. Lo que suceda después depende de cuán seriamente la industria actúe sobre la señal.

Escrito por el equipo editorial — periodismo independiente impulsado por Codego Press.

Fuentes: PYMNTS · 4 de mayo de 2026